Von Spam bis zum Datenleck

Maßnahmen für mehr E-Mail-Sicherheit

Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.

POP3 und IMAP

Aber gerade wenn es um die bei kleineren Unternehmen häufig verwendeten Übertragung via POP (Post Office Protocol) zum Abholen der Nachrichten vom Mail-Server geht, sieht es leider weniger gut aus. Dieses Protokoll kommt in der immer noch gültigen Version 3 für den Empfang von E-Mails zum Einsatz: Der Client ruft beim Einsatz dieses Protokolls die E-Mails gänzlich unverschlüsselt vom Mail-Server ab. Sofern ein moderner und professioneller E-Mail-Server wie beispielsweise MicrosoftMicrosoft Exchange zum Einsatz kommt, wird POP3 üblicherweise sowieso nicht mehr verwendet. Alles zu Microsoft auf CIO.de

Der Weg vom E-Mail-Server zum Client: Kommt das POP3-Protokoll zum Einsatz, so ist er gänzlich ungeschützt. Mit ein wenig Know-how über Port-Sniffing und Port-Mirroring kann dann, wie hier zu sehen, der Inhalt protokolliert werden.
Der Weg vom E-Mail-Server zum Client: Kommt das POP3-Protokoll zum Einsatz, so ist er gänzlich ungeschützt. Mit ein wenig Know-how über Port-Sniffing und Port-Mirroring kann dann, wie hier zu sehen, der Inhalt protokolliert werden.

POP3 erfreut sich aber leider aufgrund der sehr einfachen Implementierung auch bei vielen Internet-Hostern immer noch großer Beliebtheit. Wer die Wahl hat, sollte auf das ebenfalls oft angebotene IMAP (Internet Message Access Protocol) ausweichen. Dieses Protokoll ist in der aktuellen Version durch einen Verschlüsselungsalgorithmus gesichert und wird schon von vielen Webmail-Providern sowie den meisten Internet-Hostern angeboten.

Muss aber - warum auch immer - unbedingt das POP3-Protokoll verwendet werden, so sollten die IT-Verantwortlichen darauf dringen, dass eine Verschlüsselung der E-Mail-Inhalte auf der Client-Seite eingesetzt wird. Eine solche Verschlüsselung der Nachricht direkt auf den Client hat dabei auch für die Benutzer einen maßgeblichen Vorteil: Sie wissen dann selbst, dass die Nachricht gesichert rausging - unabhängig davon, wie der E-Mail-Administrator den ServerServer konfiguriert. Zwei Verschlüsselungsansätze haben sich zur Echtheitsprüfung (Stammt die Nachricht tatsächlich vom genannten Absender) und Integritätsprüfung (Wurde die Nachricht unerlaubt modifiziert) etabliert: "Pretty Good Privacy" (PGP) und "Secure / Multipurpose Internet Mail Extensions" (S/MIME). Alles zu Server auf CIO.de

Werden Nachrichten hingegen mit S/MIME verschlüsselt, so ist der eigentliche E-Mail-Inhalt auch bei Verwendung des unsicheren POP3-Protokolls nicht mehr lesbar: hier ein Beispiel für eine derart gesicherte Übertragung.
Werden Nachrichten hingegen mit S/MIME verschlüsselt, so ist der eigentliche E-Mail-Inhalt auch bei Verwendung des unsicheren POP3-Protokolls nicht mehr lesbar: hier ein Beispiel für eine derart gesicherte Übertragung.

Bei PGP handelt es sich um ein von Phil Zimmermann zu Studentenzeiten entwickeltes Programm, das zur Verschlüsselung und zur Erstellung digitaler Signaturen dient. Dieses Programm scheint in der öffentlichen Wahrnehmung die populärere Lösung zur Verschlüsselung von E-Mail-Nachrichten zu sein. Sie erfordert eine Installation der PGP-Software auf beiden kommunizierenden Computern. Dies ist zwar aufwendiger als die Einrichtung von S/MIME, hat aber den Vorteil, dass neben E-Mails auch Dateien verschlüsselt werden können. Beide Techniken, PGP und S/MIME, verwenden dieselben Arten von Verschlüsselungsalgorithmen und unterscheiden sich lediglich in Details und nicht in der Sicherheit.

Zur Startseite